[发明专利]一种网络过滤服务系统及方法

权利要求书

1.一种网络过滤服务系统，其特征在于，所述系统包括：终端设备、网关、过滤服务器和应用服务器；所述终端设备运行在外网环境中，其通过所述网关访问内网中的应用服务器；

所述终端设备，用于产生访问所述应用服务器的数据包并将所述数据包传送给所述网关；

所述网关，预置由所述过滤服务器推送的基于源地址的过滤配置信息，在接收到所述终端设备的数据包后，判断所述数据包的源地址是否落入所述过滤配置信息中，若是，则不对所述数据包的源地址进行转换；若否，则将所述数据包的源地址转化为与内网适配的地址形式；

所述过滤服务器，用于接收由所述网关转发的数据包，识别出所述数据包的源地址，并基于预置的源地址过滤规则对所述数据包的内容进行过滤处理；所述过滤服务器预存有源地址过滤规则的映射表，在所述映射表中包括源地址列和过滤规则列，所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应；所述映射表支持更新功能，当所述映射表中的源地址被更新时，则所述过滤服务器基于更新后的源地址向所述网关重新推送过滤配置信息，实现所述过滤服务器中的映射表与所述网关中的过滤配置信息之间的源地址信息同步；所述过滤规则基于敏感信息、过期信息建立；

所述应用服务器，用于接收由所述过滤服务器过滤后的数据包，并基于过滤后的数据包进行相关业务处理；

所述应用服务器同时具有一个内网IP地址和外网IP地址，所述应用服务器通过外网IP地址来接收和处理基于源地址过滤的数据包，并通过内网IP地址接收和处理无需基于源地址过滤的数据包。

2.根据权利要求1所述的一种网络过滤服务系统，其特征在于，所述终端设备包括第一安全模块，所述网关包括第二安全模块，所述第一安全模块与所述第二安全模块相互配合以建立所述终端设备与所述网关之间的安全通信链路。

3.根据权利要求2所述的一种网络过滤服务系统，其特征在于，所述第一安全模块中预置有终端设备的数字证书和公私钥对，所述第二安全模块预置有所述网关的数字证书和公私钥对；

所述网关在接收到所述终端设备的访问请求时，向所述终端设备返回网关数字证书以及经网关私钥签名的相关身份信息；所述终端设备验证所述网关数字证书是否合法，并采用所述网关的公钥对已签名的相关身份信息进行解密，比对解密后的相关身份信息与所述网关数字证书中的身份信息是否一致，以完成对所述网关身份的认证；

所述终端设备向所述网关返回终端设备数字证书以及经终端设备私钥签名的相关身份信息；所述网关验证所述终端设备数字证书是否合法，并采用所述终端设备的公钥对已签名的相关身份信息进行解密，比对解密后的相关身份信息与所述终端设备数字证书中的身份信息是否一致，以完成对所述终端设备身份的认证。

4.根据权利要求2所述的一种网络过滤服务系统，其特征在于，所述终端设备的第一安全模块与所述网关的第二安全模块进行密钥协商并生成会话密钥；所述终端设备与所述网关根据所述会话密钥进行密文通信。

5.根据权利要求1所述的一种网络过滤服务系统，其特征在于，所述终端设备为视频采集设备，所述视频采集设备用于采集视频信息，并将所述视频信息打包传送给所述网关。

6.一种网络过滤服务方法，应用于权利要求1-5任意一项所述的网络过滤服务系统，其特征在于，所述方法包括：

网关接收由过滤服务器推送的基于源地址的过滤配置信息，并进行预存处理；

终端设备产生访问应用服务器的数据包并将所述数据包传送给所述网关；

所述网关接收到所述终端设备的数据包，并判断所述数据包的源地址是否落入所述过滤配置信息中，若是，则不对所述数据包的源地址进行转换，并以源地址的方式透传给所述过滤服务器；若否，则将所述数据包的源地址转化为与内网适配的地址形式；

所述过滤服务器接收由所述网关转发的数据包，识别出所述数据包的源地址，并基于所述源地址的过滤规则对所述数据包的内容进行过滤处理；

基于所述源地址的过滤规则对所述数据包的内容进行过滤处理，具体包括：所述过滤服务器预存有源地址过滤规则的映射表，在所述映射表中包括源地址列和过滤规则列，所述源地址列中的源地址与所述过滤规则列中的过滤规则一一对应；所述过滤服务器根据识别出的数据包的源地址，在所述映射表中查找该源地址对应的过滤规则，并基于对应的过滤规则对所述数据包的内容进行过滤处理；

所述应用服务器接收由所述过滤服务器过滤后的数据包，并基于过滤后的数据包进行相关业务处理；

所述应用服务器同时具有一个内网IP地址和外网IP地址，所述应用服务器通过外网IP地址来接收和处理基于源地址过滤的数据包，并通过内网IP地址接收和处理无需基于源地址过滤的数据包。